CN101855854B - 向无线设备安全自动加载密钥的无线网格网络 - Google Patents
向无线设备安全自动加载密钥的无线网格网络 Download PDFInfo
- Publication number
- CN101855854B CN101855854B CN2008801156306A CN200880115630A CN101855854B CN 101855854 B CN101855854 B CN 101855854B CN 2008801156306 A CN2008801156306 A CN 2008801156306A CN 200880115630 A CN200880115630 A CN 200880115630A CN 101855854 B CN101855854 B CN 101855854B
- Authority
- CN
- China
- Prior art keywords
- wireless
- network
- configuration
- gateway
- configuration device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0423—Input/output
- G05B19/0425—Safety, monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/50—Secure pairing of devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/18—Self-organising networks, e.g. ad-hoc networks or sensor networks
Abstract
无线网格网络通过使用一个或多个加密密钥对数据进行加密,来提供安全通信。与网络的安全管理器进行通信的配置设备提供安全管理器与要向网格网络中添加的新的现场设备之间的临时安全通信路径。然后,可以经由配置设备,在网络的安全管理器和新的现场设备之间安全地传送加密材料和其他配置数据。
Description
技术领域
本发明涉及通过无线网格(mesh)网络进行通信的设备。具体地,本发明涉及在设备加入无线网格网络之前将加密密钥自动且安全加载到设备中。
背景技术
无线数据通信和控制在未来高级自动化、过程控制、安全性(securiy)和安全法规(safety regulation)中将扮演统治角色。无线数据通信和控制的一个重要要求是在网络上进行通信的设备最小化功耗。
在针对低功率、基于传感器/致动器的应用而设计的无线网格网络系统中,网络中的许多设备必须通过长寿命电池或者通过低功率能量收集(energy-scavenging)电源来供电。诸如120V AC公用电源之类的电源口(power outlet)典型地并不处于危险区域附近,或者不被允许进入危险区域中,其中仪表(传感器)和致动器必须位于这些危险区域中,而不会招致大的安装成本。低安装成本的需要驱动了对电池供电设备(作为无线网格网络的一部分而进行通信)的需要。有效利用诸如不能再充电的原电池电池组(primary cell battery)之类的受限电源对于无线设备的良好运行而言是至关重要的。期望电池能够维持超过5年,优选地同产品的寿命一样长。
在现实的无线网格网络(也可被称作自组织多跳网络)中,每一设备必须能够在网络中路由针对其自身以及其他设备的消息。消息通过网络从节点跳(hopping)至节点的概念是有用的,因为可以使用低功率RF无线电设备,网格网络仍然能够跨过大的物理区域从一端向另一端传送消息。与点到点系统(采用与集中式基站直接通话的远程设备)不同,在网格网络中不需要高功率无线电设备。
网格网络协议允许形成设备间以及设备和数据收集器之间消息传送的备用路径,或者形成到某些较高等级较高速度数据总线的网桥(bridge)或网关(gateway)。具有针对无线消息的备用、冗余路径,通过即使在其他路径由于环境影响或由于干扰而被阻断或劣化的情况下也确保存在至少一条备用路径供消息通过,增强了数据可靠性。
一些网格网络协议被确定性路由,使得每个设备具有分配的父设备(parent)以及至少一个备用父设备。在网格网络的分层体系中,同人类家庭非常相似,父设备具有子设备,子设备具有孙设备,依此类推。每一设备(或“节点”)通过网络将针对其后代的消息中继至一些最终目的地如网关。作为父设备的设备可以由电池供电,或者是有限能量供电的设备。节点具有的后代越多,该节点必须路由的业务量就越多,这又直接增加了其自身的功耗并降低了其电池寿命。
为了节省功率,一些协议通过仅在有限量的时间中打开节点的无线电设备来侦听消息,限制了任意时间段期间任意节点能够处理的业务量。因此,为了减小平均功率,协议可以允许无线电设备在开和关状态之间进行工作循环。一些协议使用全局占空比来节省功率,使得整个网络同时开和关。其他协议(例如,基于TDMA的协议)使用局部占空比,其中只有链接在一起的通信节点对被调度为在预定时间以同步方式打开和关闭。典型地,通过向节点对分配通信用的特定时隙、由无线电设备(在该时刻,进行接收(Rx),进行发射(Tx))使用的RF频率通道,来预先确定链路。
网格网络使用称作“加入”(joining)的处理来将新设备结合到安全网络中。在加入处理期间,进行许多信息交换和配置。
新设备使用网络预定信道来发现无线电范围内的类似设备。这些是新设备自身可用以便成为网络成员的现有网络节点。记录范围内每一设备的存在。新设备发送消息,以与相邻设备建立握手协议,请求加入网络,并提供设备号和网络ID。相邻设备将请求传送至网络管理器,网络管理器例如可以是在网络网关或与网关相连的服务器上运行的软件程序。新设备将向网络管理器提供其“相邻设备”列表,使得网络管理器能够确定为了允许新设备参与到网络中而必须建立的链路。
新设备从网络管理器接收加入消息。新设备然后回发预期的响应以及网络管理器为建立从新设备到网络中其他设备的链路所必需的其他信息。
新设备及其新的父设备和子设备从网络管理器接收配置信息并实施配置信息,以建立所需链路。新设备然后完全加入并参与网络。
对于无线网格网络,通信安全性以及使用方便性是两个重要特征。这两个特征可能是冲突的,因为通信安全性意味着复杂性以及事情变坏的机会。
在无线网格网络中使用的一种方法中,基于对称加入密钥机制来实现安全性。通过将正确的加入密钥加载到设备中,然后该设备能够与其相邻设备以及网格网络的网关以安全方式进行通信。在这种方法中,在加入处理期间,去往相邻设备的消息由新设备使用其存储的加入密钥来加密。如果新设备具有错误的加入密钥,则加入请求将被相邻设备拒绝,并且不会继续发送给网络管理器。新设备还使用加入密钥来解码来自网络管理器的加入消息。不需要对称加入密钥机制的其他实现安全性的方法也是可能的。这些其他方法利用设备中存储的非对称或对称加密密钥或其他加密材料(cryptographic material),来提供网络安全性。
无线网格网络面对的一个挑战在于如何首次将加密材料(例如加入密钥或其他对称或非对称密钥)加载到无线设备。如果手动进行加载,可能出现人为错误。如果通过与设备的无线通信进行加载,通信不安全,并且范围内的另一无线设备可能能够接收并可能误用旨在供正在进行加载的新设备用的加密材料。
发明内容
利用配置设备,将由通过无线网格网络进行通信的无线设备使用的加密材料(例如加密密钥或加入密钥)加载到无线设备中。在新的无线设备预计要安装在无线网格网络中从而对其进行配置时,配置设备提供无线网格网络的安全管理器与无线设备之间的安全通信路径。经由配置设备,在安全管理器和无线设备之间传送加密材料以及其他配置数据。
在一个实施例中,配置设备和无线设备之间的连接通过屏蔽天线根据无线通信协议来实现,所述屏蔽天线围绕无线设备的天线。屏蔽天线防止配置设备和无线设备之间的无线传输被任意邻近无线设备接收到。
在另一实施例中,在配置设备和无线设备之间进行临时有线连接。通过有线连接,从配置设备向无线设备提供配置数据和加密材料。可以使用控制系统通信协议(例如,HART协议)来向无线设备提供配置数据和加密材料。
附图说明
图1是示出了其中无线网格网络在主机和现场设备之间路由消息的过程控制/监视系统的图。
图2A和2B是示出了使用提供安全无线通信路径的配置设备,向要添加到图1的系统中的现场设备加载加密材料的图。
图3是示出了使用提供安全有线通信路径的配置设备,向要添加到图1的系统中的现场设备加载加密材料的图。
具体实施方式
图1示出了过程控制/监视系统10,该系统10包括主机计算机12、高速网络14、无线网格网络16(包括网关18和无线现场设备或节点20a-20i)、配置设备30和网络计算机32。网关18使网格网络16与主机计算机12通过高速网络14而接口相连。消息可以通过网络14从主机计算机12发送到网关18,然后通过若干不同路径之一发送到网格网络16中的选定节点。类似地,来自网格网络16中各节点的消息通过若干路径之一按照从节点到节点的方式被路由通过网格网络16直至到达网关18,然后通过高速网络14发送到主机12。
使用加入处理,可以向网络16中添加新的无线现场设备。在一个实施例中,基于对称加入密钥机制实现网络16内的安全性。正确的加入密钥必须加载到现场设备中,使得该设备会被其他现场设备和网关接受。加入密钥必须以安全方式来加载,使得范围内的另一无线设备不能接收并可能误用加入密钥。虽然可以向每一新的现场设备中手工加载加入密钥,但是手工加载容易出错,并且使得加密材料暴露给人类操作员。
目的是以安全方式将诸如密钥之类的加密材料加载到新的现场设备中。这可以通过网关18和新的现场设备之间的安全无线通信路径(如随后结合图2A和2B所述)或者安全有线通信路径(如结合图3所述)来实现。在两种情况下,配置设备30连同网络计算机32连接到网络14,网络计算机32提供图形用户接口(GUI),该GUI例如可以包括web浏览器。配置设备30和计算机32上的GUI允许技术员询问网络安全管理器(例如可以是在网关18或主机计算机12上运行的应用程序),获得用于新的现场设备的正确加入密钥(或其他加密材料),并将加入密钥安全地加载到新的现场设备中。一旦已经加载了加入密钥和其他所需信息,新的现场设备就能够在现场安装,在现场,作为加入处理的一部分,该新的现场设备能够使用其存储的加入密钥来成为无线网络16的一部分。
主机计算机12可以是分布式控制系统主机,其运行应用程序来帮助向现场设备20a-20i发送消息,并接收和分析来自现场设备20a-20i的消息中包含的数据。主机计算机12例如可以使用AMS(TM)设备管理器作为应用程序,以允许用户监视现场设备20a-20i并与现场设备20a-20i交互。
网关18能够使用多种不同通信协议,通过网络14与主机计算机12进行通信。在一个实施例中,网络14是RS485双线通信链路,在该链路上,网关18可以使用MODBUS协议与主机计算机12进行通信。在另一实施例中,网络14是以太网,并且网络14上的通信能够支持使用以太网接口的MODBUS TCP/IP。
网关18也可以用作web服务器(或者可以具有相关联的web服务器),以允许网络14上的用户访问无线网络16的现场设备20a-20i以及处理数据。Web服务器允许使用具有标准web浏览器以及与网络14的安全以太网连接的计算机来配置网关18。由网关18生成的用户可配置监视页面允许来自现场设备20a-20i的测量值被分组,并容易地通过web界面来查看。通过主机计算机12、或者与网络14相连的另一计算机或网络设备(例如计算机32),访问网络14,可以查看由网关18生成的web页面。执行网关18的功能的合适设备的示例是罗斯蒙德公司的Rosemount 1420无线网关。在其他实施例中,可以通过GUI以其他格式提供信息,而无需web浏览器和web服务器。
系统10可以利用针对有线分布式控制系统设计且用于有线分布式控制系统的现场设备,以及专门设计为用于无线网格网络中的无线发射机(transmitter)的现场设备。无线发射机的示例包括罗斯蒙德公司的Rosemount 3051S无线电平(level)发射机、Rosemount 648无线温度发射机和Rosemount 3051S无线压力发射机。这些无线发射机也能够用在有线系统中。
无线网络16优选地是低功率网络,其中许多节点由长寿命电池或低功率能量收集电源来供电。无线网络16上的通信可以根据网格网络配置来提供,其中消息从节点至节点传送通过网络16。这允许使用较低功率RF无线电设备,同时允许网络16跨过大的物理区域来从网络一端向另一端传送消息。
在有线控制/监视系统中,主机计算机和现场设备之间的交互使用根据控制系统通信协议(例如,HART、基金会现场总线、Profibus等)的公知控制消息来进行。能够用在有线系统以及无线系统中的现场设备能够利用根据公知控制消息协议之一的控制消息。在一些情况下,作为无线网络16一部分的无线现场设备20a-20i可能不能够与主机计算机12直接交换这些公知的控制消息,因为网络16上的无线通信根据无线协议来进行,无线协议本质是用于通用目的的。
不是需要主机计算机12与现场设备20a-20i来使用无线协议进行通信,而是可以提供一种方法来允许通过无线网络16在主机计算机12和现场设备20a-20i之间发送和接收公知的现场设备控制消息。公知的现场设备控制消息可以嵌入到通用目的的无线协议中,使得控制消息能够在主机计算机12和现场设备20a-20i之间交换,以实现控制与现场设备20a-20i的交互。结果,无线网络16及其无线通信协议实质上对于主机计算机12和现场设备20a-20i是透明的。在以下描述中,将使用HART协议作为公知控制系统通信协议的示例,但是也可以使用其他协议(例如,基金会现场总线、Profibus等)。
类似的问题涉及主机计算机12用来将消息指向现场设备20a-20i的地址。在有线系统中,主机计算机利用唯一的现场设备地址来寻址每一现场设备。地址被定义为所使用的具体通信协议的一部分,并且典型地形成由主机计算机向现场设备发送的控制消息的一部分。
当诸如图1中所示的网络16之类的无线网络用来将消息从主机计算机路由至现场设备时,主机计算机所使用的现场设备地址可能与无线网络的通信协议所使用的无线地址不兼容。
处理地址的一种方法是需要主机计算机12使用无线地址而不是现场设备地址。但是,这种方法需要根据主机计算机是否通过有线通信链路与现场设备进行通信,或者是否至少部分地通过无线网络来进行通信,来对主机计算机12进行不同的编程。另外,还存在多个现场设备的问题,这多个现场设备典型地具有不同的目的,且需要单独寻址。
一种备选方法是使用网关18来将主机计算机12提供的现场设备地址翻译成相应的无线地址。无线消息发送到无线地址,并且也包括现场设备地址,使得接收该消息的节点可以将消息引导至适当的现场设备。通过将现场设备地址翻译成相应无线地址,主机计算机12在与现场设备交互时可以工作于其本质的现场地址域。
在一个实施例中,主机计算机12使用可扩展标记语言(XML)格式的消息,与网关18进行通信。供现场设备20a-20i使用的控制消息根据HART协议来提供,并且以XML格式传送至网关18。
在一个实施例中,网关18包括网关接口、网络(或网格)管理器和无线电收发机。网关接口接收来自主机计算机12的XML文档,提取HART控制消息,并将控制消息修改为要嵌入到将通过无线网络16传送的无线消息中的格式。
网络或网格管理器形成无线消息,该无线消息嵌入有HART控制消息,并且具有与HART消息指向的现场设备相对应的节点的无线地址。网格管理器例如可以维护将每一现场设备地址同与该现场设备地址相对应的现场设备所在的节点的无线地址进行相关的查找表。根据无线协议的无线消息包括无线节点地址,该无线节点地址用来将无线消息路由通过网络16。现场设备地址包含在无线消息内嵌入的HART消息中,且并不用于将无线消息路由通过网络16。相反,一旦无线消息已经到达目的节点,则使用现场设备地址。
网格管理器使网关18中的无线电发送无线消息,使得无线消息通过网络16内的一跳或多跳而传送到目的现场设备。例如,去往现场设备20f的消息可以从网关18传送至现场设备20a,然后至现场设备20f,或者可选地,从网关18传送至现场设备20b,然后至现场设备20f。网络16中其他路由也是可能的。
使用在无线消息(根据无线协议)内嵌入的控制消息(根据控制消息协议)使得分布式控制系统的主机计算机能够通过无线通信网络与现场设备进行交互。可以使用已知的控制消息格式如HART、现场总线等,在主机计算机和现场设备之间交换控制消息,而无需由主机计算机或现场设备来修改控制消息以允许通过无线网络传送控制消息。控制消息嵌入在无线通信协议内,使得在主机计算机和现场设备之间交换的控制消息的实质不会由于通过无线网络而被修改。
太大而难以通过无线通信协议来路由的控制消息可以拆分成部分,并以多个部分来发送。每一部分嵌入无线消息中,并且当这多个部分退出无线网络时可以将这多个部分重组为原始的控制消息。通过在嵌入的控制消息中使用消息ID,可以按照正确的顺序来重组这多个部分,即便嵌入有原始控制消息各部分的各无线消息可能采取不同路径通过无线网络。
将现场设备地址翻译成相应无线地址允许主机12在与无线地址域内的现场设备进行交互时工作于其本质的现场设备地址域。使用无线网络16来对去往现场设备和来自现场设备的消息进行路由对于主机12是透明的。地址翻译以及在无线消息中包括无线地址和现场设备地址两者允许对与单一节点(即,单一无线地址)相关联的多个现场设备进行单独寻址。
图2A和2B示出了新的现场设备20j,该现场设备20j需要通过加载加密材料(例如加入密钥)来进行配置,从而能够将其添加到无线网络16。在该实施例中,技术员利用配置设备30、计算机32、管状天线34和同轴电缆36,来询问网关18,获得必要的加密密钥,并通过天线34与设备20j的天线40之间的无线通信将加入密钥提供给新的现场设备20j。
在典型的实践中,可以在将设备20j安装到现场中之前,由技术员在实验室或工作室中,执行将诸如加入密钥之类的加密材料加载到新的设备20j中。在工作室或实验室,将配置设备30和计算机32连接到网络14。通过与新的现场设备需要添加到的无线网络16的网关18建立通信,发起加入密钥加载处理。在一些情况下,可能有多个网关在网络14上,并且这多个网关可以与相同无线网络或不同无线网络进行交互。
技术员可以使用计算机32上运行的GUI来访问信息。例如,可以将信息格式化成由网关18的web服务器所产生的web页面。由网关18提供的web页面之一允许技术员向无线网络16添加新的现场设备。这可以是web页面上“添加”按钮的形式。当请求添加特征时(即,点击添加按钮),网关18通过由配置设备30建立的安全通信路径,发送要由新的现场设备20j使用的加密材料(例如加入密钥)。加密材料由网络的安全管理器提供,所述安全管理器例如可以是网关18或主机计算机12上运行的程序。
如图2B所示,管状天线34被置于新的现场设备20j的天线40上。通过适当放置的管状天线34,能够在天线34和天线40之间进行无线通信,使得能够以安全方式加载加密材料。管状天线34例如可以是具有塑料涂层的金属管(如铜)或者金属网格管。由同轴电缆36向管34内部传送的RF信号被金属管或网格管屏蔽而不能到达周围的设备,使得只有天线40能够接收来自配置设备30的RF信号。
在图2A和2B所示的实施例中,配置设备30包括状态指示器42和44,状态指示器例如可以是发光二极管。可选地,代替指示器42和44或者在指示器42和44之外,可以使用显示器(例如液晶显示器)。配置设备30也能够提供新的现场设备20j是有效的且应该添加到网关18所维护的现场设备列表中的认证。指示器42和44可以在该认证过程期间提供状态和安全信息。例如,在一个实施例中,指示器42可以在指示器42打开时指示设备20j的状态未知,并且可以在指示器42闪烁时指示设备20j的状态是正被验证。类似地,指示器44可以通过闪烁来指示现场设备20j是有效设备,并且可以在指示器44持续打开时指示安全密钥已被加载。
在认证处理期间,可以通过由天线34、同轴电缆36和配置设备30建立的安全通信路径,在安全管理器和新的现场设备20j之间交换信息。例如,可以交互设备号和网络ID信息。
图3示出了用于将加入密钥下载到新的现场设备的备选实施例。在该实施例中,配置设备30具有通过双线总线(two wire bus)50向无线设备20j提供消息的能力。在所讨论的实施例中,现场设备20a-20j具有工作于有线配置以及无线网络中的能力。图3所示的实施例通过提供与现场设备20j的临时双线连接,利用了该能力,其中可以通过所述临时双线连接按照控制系统通信协议如HART来发送消息。配置设备30从网关18或主机计算机12接收通过高速网络14传送的消息,并将消息转换为HART协议,以便通过双线通信总线50来传送。来自现场设备20j的答复消息按照HART协议,并且传送至配置设备30,配置设备30将HART消息转换或嵌入,以便通过高速网络14来传送。配置设备30中用于将消息从以太网协议转换为HART协议(图3)或无线协议(图2A和2B)的应用程序可以类似于网关18用来执行高速网络14和无线网络16之间相似格式转换的应用程序。
同图2A和2B中所示的实施例一样,图3中的实施例允许加载加密材料以及认证新的现场设备20j。如参照图2A和2B所描述的那样,图3中配置设备30的指示器42和44能够提供相同的状态和安全信息。
由配置设备30下载的加密材料可以对于每一现场设备是唯一的,或者可以对于每一网络是唯一的。对单一消息使用唯一密钥在历史上称作“单次密码簿”(one time pad)。这提供了防止对网络安全性进行暴力攻击的最佳保护形式,因为不存在用作攻击基础的统计数据。通过使用这种技术,加入密钥可以被建立为仅由已经预先验证的设备使用一次。
可从网关18或主机计算机12下载的其他配置数据包括网络ID和网络密钥。通过配置设备30向新的现场设备传送配置数据的范围(extent)可由技术员通过计算机32上的GUI来选择。在其他情况下,可以由网关18自动确定要传送的配置数据。
在网关18和新的现场设备(例如现场设备20j)之间建立安全通信路径的配置设备的使用允许了用于加载加密材料、执行其他配置和认证(这是为了将现场设备20j安装到无线网络16中而需要的)的自动化处理。加密材料和其他配置数据的传送以及认证处理可以自动执行,而不需要技术员进行手动输入。技术员可以通过与网络14相连的计算机32上的GUI来控制处理。在一些情况下,GUI可以包括利用网关18的web服务器所提供的web页面的web浏览器。
配置设备30是简单的,具有最小数目的连接。配置设备30执行的功能是专门化且受限的,且因此所需的应用程序相对较小,并且所需的硬件相对廉价。在一些情况下,与现场设备的安全无线和有线通信这两种功能可以在相同的配置设备中提供。在其他情况下,可以只提供所需形式的安全通信。
相同的配置设备可以与多个网关一起使用。通过计算机32上的GUI,通过选择新的现场设备要加入的具体无线网络,可以选择具体的网关(和无线网络)。
在另一实施例中,配置设备30和计算机32的功能可以组合在单个设备中。例如,配置设备30可以包括用户接口(显示器和键盘或者触摸屏输入)以进行查看并直接与安全管理器交互。
尽管已经参照优选实施例描述了本发明,但是本领域技术人员将认识到,在不脱离本发明的精神和范围的前提下,可以在形式和细节上进行改变。
Claims (9)
1.一种向无线设备中加载加密材料以允许无线设备成为无线网络一部分的方法,该方法包括:
建立配置设备和无线网格网络的安全管理器之间的网络连接;
经由配置设备建立安全管理器和无线设备之间的安全通信路径,其中,安全通信路径包括配置设备和无线设备之间的屏蔽无线链路,屏蔽无线链路包括与配置设备连接的管状天线,所述管状天线能够安装在无线设备的天线上;以及
通过安全通信路径,从安全管理器向无线设备加载加密材料。
2.如权利要求1所述的方法,其中,配置设备将通过网络连接从安全管理器接收到的消息转换为无线通信协议。
3.如权利要求1所述的方法,还包括:
除了加密材料之外,还通过安全通信路径加载配置数据。
4.如权利要求1所述的方法,还包括:
查看图形用户接口;以及
通过图形用户接口发起加密材料的加载。
5.如权利要求1所述的方法,其中,网络连接包括配置设备连接到的有线数字通信网络。
6.如权利要求1所述的方法,其中,加密材料包括使用单次密码簿技术生成的密钥。
7.一种配置设备,用于向要安装在无线网络中的无线设备提供初始配置数据,所述无线网络包括网关,所述网关使无线网络与有线数字通信网络相接口连接,所述配置设备包括:
与有线数字通信网络的有线连接;
用于与无线设备进行通信的安全通信链路,其中,安全通信链路包括配置设备和无线设备之间的屏蔽无线链路,屏蔽无线链路包括管状天线,所述管状天线能够安装在无线设备的天线上;以及
接口,用于建立网关与无线设备之间的安全通信路径,通过该安全通信路径来传送初始配置数据。
8.如权利要求7所述的配置设备,其中,配置数据包括加密材料和网络ID中至少之一。
9.如权利要求7所述的配置设备,其中,接口将通过网络连接从网关接收到的消息转换为无线通信协议。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/983,943 US8208635B2 (en) | 2007-11-13 | 2007-11-13 | Wireless mesh network with secure automatic key loads to wireless devices |
| US11/983,943 | 2007-11-13 | ||
| PCT/US2008/012697 WO2009064409A1 (en) | 2007-11-13 | 2008-11-12 | Wireless mesh network with secure automatic key loads to wireless devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101855854A CN101855854A (zh) | 2010-10-06 |
| CN101855854B true CN101855854B (zh) | 2013-11-13 |
Family
ID=40624851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801156306A Active CN101855854B (zh) | 2007-11-13 | 2008-11-12 | 向无线设备安全自动加载密钥的无线网格网络 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8208635B2 (zh) |
| EP (1) | EP2213030B1 (zh) |
| JP (1) | JP5400788B2 (zh) |
| CN (1) | CN101855854B (zh) |
| WO (1) | WO2009064409A1 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2096505A1 (en) * | 2008-02-26 | 2009-09-02 | ABB Research Ltd. | Methods, products and system for configuring a new node of an industrial wireless network |
| US8369880B2 (en) * | 2008-02-27 | 2013-02-05 | Fisher-Rosemount Systems, Inc. | Join key provisioning of wireless devices |
| US8224256B2 (en) * | 2009-01-29 | 2012-07-17 | Fisher-Rosemont Systems, Inc. | Wireless field maintenance adapter |
| US9532232B2 (en) | 2009-05-15 | 2016-12-27 | Fisher-Rosemount Systems, Inc. | Detection and location of wireless field devices |
| RU2522312C2 (ru) * | 2009-05-15 | 2014-07-10 | Фишер-Роузмаунт Системз, Инк. | Портативный инструмент для технического обслуживания на месте с улучшенными функциями |
| JP5295017B2 (ja) * | 2009-07-07 | 2013-09-18 | キヤノン株式会社 | 通信装置、通信装置の制御方法、プログラム |
| US10645628B2 (en) * | 2010-03-04 | 2020-05-05 | Rosemount Inc. | Apparatus for interconnecting wireless networks separated by a barrier |
| CN102244862A (zh) * | 2010-05-10 | 2011-11-16 | 北京三星通信技术研究有限公司 | 一种获取安全密钥的方法 |
| US9709973B2 (en) | 2010-07-28 | 2017-07-18 | Fisher-Rosemount Systems, Inc. | Handheld field maintenance tool with improved diagnostics |
| WO2012163385A1 (en) * | 2011-05-27 | 2012-12-06 | Abb Technology Ag | Joining a computer to a process control system |
| DE102011079890A1 (de) * | 2011-07-27 | 2013-01-31 | Codewrights Gmbh | System und Verfahren zur Bedienung von Feldgeräten in einer Automatisierungsanlage |
| US8966601B2 (en) | 2011-09-23 | 2015-02-24 | Hewlett-Packard Development Company, L.P. | Connection of peripheral devices to wireless networks |
| RU2513642C2 (ru) * | 2012-04-05 | 2014-04-20 | Общество С Ограниченной Ответственностью "Трубопровод Контроль Сервис" | Система контроля вибрации и температуры с беспроводными датчиками и узел крепления пьезокерамического элемента в беспроводном датчике |
| JP5549710B2 (ja) * | 2012-07-04 | 2014-07-16 | 横河電機株式会社 | 無線通信システム及び情報提供方法 |
| WO2014094982A1 (en) * | 2012-12-20 | 2014-06-26 | Abb Ag | Commissioning system and method for a secure exchange of sensitive information for the commissioning and configuring of technical equipment |
| DE102013216501A1 (de) * | 2013-08-20 | 2015-02-26 | Vega Grieshaber Kg | Messgerätezugangsvorrichtung, Feldgerät und Verfahren zum Steuern des Zugangs zu einem Messgerät |
| WO2016028304A1 (en) | 2014-08-21 | 2016-02-25 | Hewlett-Packard Development Company, L.P. | Request for network credential |
| US9407624B1 (en) | 2015-05-14 | 2016-08-02 | Delphian Systems, LLC | User-selectable security modes for interconnected devices |
| DE102015111594A1 (de) * | 2015-07-16 | 2017-01-19 | Endress+Hauser Conducta Gmbh+Co. Kg | Verfahren zur Kommunikation zwischen einem Sensor und einem mit dem Sensor verbindbaren Anschlusselement |
| BR102015032311B1 (pt) * | 2015-12-22 | 2023-10-17 | Robert Bosch Limitada | Processo de implantação de uma rede de malha e dispositivo de nó de uma rede de malha |
| US10979881B2 (en) | 2016-03-31 | 2021-04-13 | Rosemount Inc. | NFC enabled wireless process communication gateway |
| US10897710B2 (en) * | 2017-05-01 | 2021-01-19 | Analog Devices International Unlimited Company | Disjoint security in wireless networks with multiple managers or access points |
| US10773685B2 (en) * | 2019-01-19 | 2020-09-15 | International Business Machines Corporation | Implementing information exchange across IoT enabled vehicular devices for amplified dynamic security |
| US10924302B2 (en) * | 2019-06-06 | 2021-02-16 | Sercomm Corporation | Integrated communication system and service provisioning method thereof |
| US11784936B1 (en) * | 2022-08-18 | 2023-10-10 | Uab 360 It | Conservation of resources in a mesh network |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1155769A (zh) * | 1995-10-10 | 1997-07-30 | 盖尔创尼克斯公司 | 可伸缩的天线装置 |
Family Cites Families (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6856687B2 (en) * | 1999-06-21 | 2005-02-15 | Copytele, Inc. | Portable telecommunication security device |
| DE10042165C1 (de) * | 2000-08-17 | 2002-04-18 | Butzke Werke Aqua | System zur Steuerung und Überwachung von Sanitärarmaturen |
| EP1202145B1 (en) * | 2000-10-27 | 2005-02-09 | Invensys Systems, Inc. | Field device with a transmitter and/ or receiver for wireless data communication |
| US20020138635A1 (en) * | 2001-03-26 | 2002-09-26 | Nec Usa, Inc. | Multi-ISP controlled access to IP networks, based on third-party operated untrusted access stations |
| US7254712B2 (en) * | 2001-06-12 | 2007-08-07 | Research In Motion Limited | System and method for compressing secure e-mail for exchange with a mobile data communication device |
| EP1293853A1 (de) | 2001-09-12 | 2003-03-19 | ENDRESS + HAUSER WETZER GmbH + Co. KG | Funkmodul für Feldgerät |
| US7362865B2 (en) * | 2002-04-15 | 2008-04-22 | Hewlett-Packard Development Company, L.P. | Wireless network system |
| KR101009686B1 (ko) * | 2002-08-14 | 2011-01-19 | 톰슨 라이센싱 | 다수의 가상 운영자를 지원하는 공용 무선 lan을 위한 세션 키 관리 |
| JP4346413B2 (ja) * | 2002-12-19 | 2009-10-21 | 株式会社バッファロー | 暗号鍵設定システム、アクセスポイント、および、暗号鍵設定方法 |
| US7522731B2 (en) * | 2003-04-28 | 2009-04-21 | Firetide, Inc. | Wireless service points having unique identifiers for secure communication |
| US7522729B2 (en) * | 2003-11-06 | 2009-04-21 | Buffalo Inc. | Encryption key setting system, access point, encryption key setting method, and authentication code setting system |
| US7762470B2 (en) * | 2003-11-17 | 2010-07-27 | Dpd Patent Trust Ltd. | RFID token with multiple interface controller |
| JP4667739B2 (ja) * | 2003-12-05 | 2011-04-13 | 株式会社バッファロー | 暗号鍵設定システム、アクセスポイント、無線lan端末、および、暗号鍵設定方法 |
| US20050198221A1 (en) * | 2004-01-07 | 2005-09-08 | Microsoft Corporation | Configuring an ad hoc wireless network using a portable media device |
| US20050201349A1 (en) * | 2004-03-15 | 2005-09-15 | Honeywell International Inc. | Redundant wireless node network with coordinated receiver diversity |
| US7646872B2 (en) * | 2004-04-02 | 2010-01-12 | Research In Motion Limited | Systems and methods to securely generate shared keys |
| AU2005228061A1 (en) * | 2004-04-02 | 2005-10-13 | Research In Motion Limited | Deploying and provisioning wireless handheld devices |
| US7206010B2 (en) * | 2004-04-16 | 2007-04-17 | Zih Corp. | Systems and methods for providing a media located on a spool and/or a cartridge where the media includes a wireless communication device attached thereto |
| US7620409B2 (en) * | 2004-06-17 | 2009-11-17 | Honeywell International Inc. | Wireless communication system with channel hopping and redundant connectivity |
| US8929228B2 (en) | 2004-07-01 | 2015-01-06 | Honeywell International Inc. | Latency controlled redundant routing |
| WO2006080623A1 (en) * | 2004-09-22 | 2006-08-03 | Samsung Electronics Co., Ltd. | Method and apparatus for managing communication security in wireless network |
| ATE520085T1 (de) * | 2004-10-27 | 2011-08-15 | Meshnetworks Inc | System und verfahren zur gewährleistung von sicherheit für ein drahtloses netzwerk |
| JP4715239B2 (ja) * | 2005-03-04 | 2011-07-06 | 沖電気工業株式会社 | 無線アクセス装置、無線アクセス方法及び無線ネットワーク |
| US20060227729A1 (en) * | 2005-04-12 | 2006-10-12 | Honeywell International Inc. | Wireless communication system with collision avoidance protocol |
| US7742394B2 (en) * | 2005-06-03 | 2010-06-22 | Honeywell International Inc. | Redundantly connected wireless sensor networking methods |
| US7848223B2 (en) * | 2005-06-03 | 2010-12-07 | Honeywell International Inc. | Redundantly connected wireless sensor networking methods |
| US8463319B2 (en) * | 2005-06-17 | 2013-06-11 | Honeywell International Inc. | Wireless application installation, configuration and management tool |
| US7688976B2 (en) * | 2005-07-14 | 2010-03-30 | Tara Chand Singhal | Random wave envelope derived random numbers and their use in generating transient keys in communication security application part I |
| US20070030816A1 (en) * | 2005-08-08 | 2007-02-08 | Honeywell International Inc. | Data compression and abnormal situation detection in a wireless sensor network |
| US7801094B2 (en) * | 2005-08-08 | 2010-09-21 | Honeywell International Inc. | Integrated infrastructure supporting multiple wireless devices |
| JP4730735B2 (ja) * | 2005-09-07 | 2011-07-20 | 株式会社エヌ・ティ・ティ・ドコモ | 安全なアドホックネットワークを構成するデバイスおよび認証方法並びに認証プログラム |
| JP4750515B2 (ja) * | 2005-09-07 | 2011-08-17 | 株式会社エヌ・ティ・ティ・ドコモ | 安全なアドホックネットワークを構築するシステム |
| JP4667178B2 (ja) * | 2005-09-07 | 2011-04-06 | 株式会社エヌ・ティ・ティ・ドコモ | 安全なアドホックネットワークを構築するシステム、方法及びコンピュータプログラム |
| JP4744993B2 (ja) * | 2005-09-07 | 2011-08-10 | 株式会社エヌ・ティ・ティ・ドコモ | 認証局、デバイス、移動局および通信システム並びに通信方法並びに通信プログラム |
| US7483409B2 (en) * | 2005-12-30 | 2009-01-27 | Motorola, Inc. | Wireless router assisted security handoff (WRASH) in a multi-hop wireless network |
| US7424328B2 (en) * | 2006-01-03 | 2008-09-09 | De Silvio Louis F | Apparatus and method for wireless process control |
| JP2007228456A (ja) * | 2006-02-27 | 2007-09-06 | Clarion Co Ltd | 複合アンテナ |
| US20070248232A1 (en) * | 2006-04-10 | 2007-10-25 | Honeywell International Inc. | Cryptographic key sharing method |
| JP2007336287A (ja) * | 2006-06-15 | 2007-12-27 | Toshiba Corp | 電子機器および無線接続制御方法 |
| US7734052B2 (en) * | 2006-09-07 | 2010-06-08 | Motorola, Inc. | Method and system for secure processing of authentication key material in an ad hoc wireless network |
| US7508803B2 (en) * | 2006-09-07 | 2009-03-24 | Motorola, Inc. | Transporting management traffic through a multi-hop mesh network |
| US7707415B2 (en) * | 2006-09-07 | 2010-04-27 | Motorola, Inc. | Tunneling security association messages through a mesh network |
| US7499547B2 (en) * | 2006-09-07 | 2009-03-03 | Motorola, Inc. | Security authentication and key management within an infrastructure based wireless multi-hop network |
| US8578159B2 (en) * | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
| US9167423B2 (en) * | 2006-09-29 | 2015-10-20 | Rosemount Inc. | Wireless handheld configuration device for a securable wireless self-organizing mesh network |
| JP4944564B2 (ja) * | 2006-10-20 | 2012-06-06 | キヤノン株式会社 | 通信パラメータの設定方法、通信装置、通信装置の制御方法およびプログラム |
| US20080273486A1 (en) * | 2007-04-13 | 2008-11-06 | Hart Communication Foundation | Wireless Protocol Adapter |
| US8325627B2 (en) * | 2007-04-13 | 2012-12-04 | Hart Communication Foundation | Adaptive scheduling in a wireless network |
| US20090047964A1 (en) * | 2007-08-17 | 2009-02-19 | Qualcomm Incorporated | Handoff in ad-hoc mobile broadband networks |
| US8369880B2 (en) * | 2008-02-27 | 2013-02-05 | Fisher-Rosemount Systems, Inc. | Join key provisioning of wireless devices |
-
2007
- 2007-11-13 US US11/983,943 patent/US8208635B2/en active Active
-
2008
- 2008-11-12 EP EP08849113.9A patent/EP2213030B1/en active Active
- 2008-11-12 CN CN2008801156306A patent/CN101855854B/zh active Active
- 2008-11-12 JP JP2010534029A patent/JP5400788B2/ja active Active
- 2008-11-12 WO PCT/US2008/012697 patent/WO2009064409A1/en active Application Filing
-
2012
- 2012-05-24 US US13/479,869 patent/US10153898B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1155769A (zh) * | 1995-10-10 | 1997-07-30 | 盖尔创尼克斯公司 | 可伸缩的天线装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101855854A (zh) | 2010-10-06 |
| JP5400788B2 (ja) | 2014-01-29 |
| EP2213030B1 (en) | 2018-01-10 |
| JP2011504684A (ja) | 2011-02-10 |
| WO2009064409A1 (en) | 2009-05-22 |
| EP2213030A4 (en) | 2013-12-25 |
| US10153898B2 (en) | 2018-12-11 |
| US20120237034A1 (en) | 2012-09-20 |
| US20090125713A1 (en) | 2009-05-14 |
| US8208635B2 (en) | 2012-06-26 |
| EP2213030A1 (en) | 2010-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101855854B (zh) | 向无线设备安全自动加载密钥的无线网格网络 | |
| CN101960888B (zh) | 无线设备的连接密钥配置 | |
| CN107976967B (zh) | 跨用于安全过程控制通信的数据二极管发布数据 | |
| CN102904749B (zh) | 采用安全设备保护网络装置的方法、安全设备和数据网络 | |
| EP1966954B1 (en) | Method and system for integration of wireless devices with a distributed control system | |
| CN1498489B (zh) | 网络通信 | |
| WO2014094982A1 (en) | Commissioning system and method for a secure exchange of sensitive information for the commissioning and configuring of technical equipment | |
| US8350718B2 (en) | Secure collector diagnostic portal activation | |
| CN101843033B (zh) | 针对自动化网络的实时通信安全性 | |
| US9584521B2 (en) | Bi-directional communication over a one-way link | |
| CN101228734A (zh) | 具有以太网供电功能的接口模块 | |
| CN102905335A (zh) | 无线网络中的网络管理和设备通信的支持 | |
| CN101510793A (zh) | 一种通过蓝牙服务器实现多个蓝牙设备组网的方法、软件程序及服务器 | |
| CN114008993B (zh) | 用于无线通信网络中的会话建立的方法、装置和系统 | |
| CN104541489B (zh) | 用于配置电信网络的网络节点的方法、电信网络、程序及计算机程序产品 | |
| JP2016192748A (ja) | 無線中継装置、無線通信システム、及び無線中継方法 | |
| JP2019517172A (ja) | Nfc対応無線プロセス通信ゲートウェイ | |
| EP2704462B1 (en) | Wireless device for wireless communication using one of a plurality of wireless modules which is adapted to the wireless communication status of a site to be monitored and wireless network system provided with such wireless devices | |
| CN107925630A (zh) | 机器对机器通信系统中的通信策略控制 | |
| EP2676403B1 (en) | A network management assembly for managing a flow of network management traffic | |
| CN104144247B (zh) | 一种手机对无线上网模块配置和管理的方法 | |
| Kong et al. | Development of communication system in numerical control workshop based on Ethernet | |
| Madhumathi et al. | A comprehensive survey of IoT edge/fog computing protocols | |
| Alamri | Securing the constrained application protocol (CoAP) for the internet of things (IoT) | |
| CN206833185U (zh) | 借助各种类型的无线连接来控制空间内微气候的微气候控制设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |